资源服务器如何认证访问身份?
一般会传入access_token,那资源认证服务器是如何解析令牌以及如何与资源认证服务器的token库进行对比的?
核心代码在org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter#doFilter
Debug验证:
1、先用密码模式生成一个访问的access_token
![]()
2、然后用postman进行资源请求:
![]()
3、进入断点
![]()
图1
(1):根据tokenExtractor的extract方法获取请求携带的token信息
方法:org.springframework.security.oauth2.provider.authentication.BearerTokenExtractor#extractHeaderToken
![]()
经过:org.springframework.security.oauth2.provider.authentication.BearerTokenExtractor#extract
将token封装成
PreAuthenticatedAuthenticationToken
![]()
这里可以看到PreAuthenticationAuthenticationToken是Authentication的子类,回到图1的第一步,返回authentication对象
(2)、验证authenticaion
图1的第二步,进入断点
![]()
从服务端的token存储位置取出OAuth2AccessToken对象,这里tokenStore.readAccessToken(accessTokenValue)方法是核心,点进去看-》
![]()
就是从accessTokenStore中获取的。
此时权限信息已经通过token取到,继续往下验证
![]()
checkClientDetails(auth)方法
![]()
验证当前登录用户的scope属性是否符合所请求的资源所需的权限要求,如果不满足,抛出
Invalid token contains disallowed scope (" + scope + ") for this client
通过验证后,将身份认证信息返回,第二步结束
(3):将身份信息绑定到SecurityContextHolder中
这步没什么好说的,进入断点就是
![]()
将身份信息设置到上下文的authentication属性中。
至此,token的服务端验证逻辑结束
| 
转播
